JFrogレポート： GitHubのPythonリポジトリーで重大なリークを検出

JFrogのセキュリティーリサーチチームは、Python、PyPI、Python Software FoundationのGitHubリポジトリーへの管理者アクセス権を持つ漏洩したアクセストークンに関連する、重大なセキュリティーリスクを発見した。トークンは、Docker HubでホストされているパブリックDockerコンテナで発見。Docker Hub、NPM、PyPIなどのパブリックリポジトリーを積極的にスキャンすることで、潜在的な脅威や悪意のあるパッケージを特定し、悪用される前に関連するメンテナーに報告できるようにした。

漏洩したシークレットはJFrogセキュリティーリサーチチームによって特定され、すぐにPyPIのセキュリティーチームに報告された。トークンは17分以内に取り消され、サプライチェーンの潜在的な災害は回避された。トークンが悪意のある人の手に渡った場合、攻撃者はPyPIパッケージやPython言語自体に悪意のあるコードを挿入できる可能性がある。トークンに関連付けられたユーザーは、Python Software Foundation（PSF）、PyPI、Python言語、CPythonなど、Pythonインフラのコアリポジトリーへの管理者アクセス権を持っていた。

認証トークンは、Dockerコンテナ内のコンパイルされたPythonファイルで見つかり、元の作者はソースコードに認証トークンを簡単に追加し、ソースコードを実行した。ソースコードが認証トークンとともに.pycバイナリーにコンパイルされ、ソースコードから認証トークンが削除されたが、.pycはクリーンアップされず、クリーンなソースコードとクリーンでない.pycバイナリーの両方がDockerイメージにプッシュされた。これは、公開されたDockerイメージ内のソースコードとバイナリーデータの両方を監査することの重要性を示している。

このインシデントは、ソースコードとバイナリーデータの両方でシークレットを検出することの重要性を物語っている。最新のIDEや開発ツールはソースコード内のシークレットを効果的に検出し、漏洩を防止するが、その範囲はコードに限定されており、ビルドおよびパッケージングツールによって作成されたバイナリーアーティファクトは含まれない。JFrogセキュリティーリサーチチームは、可視性を高めるために古いスタイルのGitHubトークンを新しいものに置き換え、トークンの範囲をそれを使用するアプリケーションに必要なリソースに制限することを推奨している。JFrogのシークレット検出エンジンは、コンパイルされたPythonバイナリーファイル（pyc）で漏洩したにもかかわらず、この重要なトークンを見つけることができた。これは、テキストファイルとバイナリーファイルで漏洩したシークレットをスキャンすることの重要性を示している。

出典：JFrog